CC BY
86ТЕХНИЧЕСКИЕ НАУКИ
Методы анализа рисков информационной безопасности Ральникова Н. С.
Ральникова Наталья Сергеевна /Ralnikova Natalya Sergeevna - магистрант, кафедра безопасных информационных технологий, факультет информационной безопасности и компьютерных технологий, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, г. Санкт-Петербург
Аннотация: при построении системы защиты предприятия необходимо определить баланс между возможным ущербом от несанкционированной утечки информации и размером вложений, которые потрачены для обеспечения защищенности информационных ресурсов. В данной статье мы проведем сравнительный обзор методов, с помощью которых можно провести анализ рисков на предприятии.
Ключевые слова: информационная безопасность, риски, методы анализа рисков.
Анализ информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. Другими словами - это вероятный ущерб, который зависит от защищенности системы [1, с. 15].
По статистике, самым главным препятствием на пути принятия мер по обеспечению информационной безопасности являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков, например: CRAMM (Великобритания), RiskWatch (США) и ГРИФ (Россия). Рассмотрим далее данные методы и построенные на их базе программные системы.
CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. Оценка рисков проходит в три этапа: определение ценности ресурсов, оценка рисков, поиск и выбор адекватных контрмер. Достоинствами этого комплекса являются возможность использования на всех стадиях проведения аудита безопасности, объемная база знаний по контрмерам и гибкость. Недостатком является необходимость работы высококвалифицированного аудитора.
В RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» и оценка «возврата от инвестиций». RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Процесс анализа из следующих этапов: определение предмета исследования, определение угроз и вероятности их возникновения и оценка рисков. Достоинствами являются: сравнительно невысокая трудоемкость процесса анализа рисков и большая гибкость метода. Из недостатков можно отметить то, что неудобно описывать административно -организационные аспекты рисков.
Оценку рисков программный комплекс «ГРИФ» предлагает проводить двумя разными алгоритмами: при помощи модели информационных потоков либо при помощи модели
угроз и уязвимостей. Алгоритм информационных потоков состоит из следующих этапов: ввод объектов информационной системы (отделов, ресурсов); определение видов пользовательских групп и их прав по отношению к информационным ресурсам; указание средств защиты, которыми защищены ценные ресурсы, и ввод затрат на их приобретение и сопровождение; оценка реального уровня защищенности системы при помощи опросника. Из достоинств можно отметить простоту программного решения при сложнейшем алгоритме. Недостатками является то, что программа не позволяет создавать собственные свойства активов, и ограничена в задании собственных контрмер.
При построении системы безопасности предприятия оценка рисков - это неотъемлемый и очень важный этап, необходимый для оценки необходимости внедрения средств защиты информации и оценки эффективности уже внедренных средств защиты.
Для облегчения анализа и оценки рисков существует множество различных инструментальных средств. Данный обзор программных продуктов анализа рисков поможет выбрать необходимый исходя из цели предприятия в этом направлении, его размеров и наличия квалифицированного персонала.
Литература
1. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации. М.: ИНФРА-М_РИОР, 2014. С. 15.
2. Симонов С. Современные технологии анализа рисков в информационных системах. М.: PCWEEK, 2001. С. 37.
